Wat is selfserviceregistratie voor Microsoft Entra ID?

In dit artikel wordt uitgelegd hoe u selfserviceregistratie gebruikt om een organisatie in te vullen in Microsoft Entra-id, onderdeel van Microsoft Entra. Als u een domeinnaam wilt overnemen van een niet-beheerde Microsoft Entra-organisatie, raadpleegt u Een niet-beheerde tenant overnemen als beheerder.

Wat is de selfservice voor registreren?

• Klanten sneller bij de services die ze willen, krijgen
• Op e-mail gebaseerde aanbiedingen voor een service maken
• Op e-mail gebaseerde aanmeldingsstromen maken waardoor gebruikers snel identiteiten kunnen maken met behulp van hun eenvoudig te onthouden zakelijke e-mailaliassen
• Een zelfservice gemaakte Microsoft Entra-tenant kan worden omgezet in een beheerde tenant die kan worden gebruikt voor andere services

Termen en definities

• Selfserviceregistratie is de methode waarmee een gebruiker zich registreert voor een cloudservice en waarbij automatisch een identiteit voor hen wordt aangemaakt in Microsoft Entra ID, op basis van hun e-maildomein.
• Een onbeheerde Microsoft Entra-tenant is de tenant waar die identiteit wordt gemaakt. Een niet-beheerde tenant is een tenant die geen globale beheerder heeft.
• Een door e-mail geverifieerde gebruiker is een type gebruikersaccount in Microsoft Entra ID. Een gebruiker voor wie automatisch een identiteit wordt gemaakt na aanmelding voor een selfservice-aanbieding wordt ook wel een via e-mail geverifieerde gebruiker genoemd. Een via e-mail geverifieerde gebruiker is een gewoon lid van een tenant waaraan de tag creationmethod=EmailVerified is toegevoegd.

Hoe beheer ik de instellingen voor de selfservice?

Beheerders beschikken over twee besturingselementen voor selfservice. Ze kunnen bepalen of:

• gebruikers via e-mail mogen deelnemen aan de tenant
• gebruikers zichzelf kunnen licentiëren voor toepassingen en services

Hoe beheer ik deze mogelijkheden?

Een beheerder kan deze mogelijkheden configureren met behulp van de volgende Microsoft Entra-cmdlet Update-MgPolicyAuthorizationPolicy parameters:

• allowEmailVerifiedUsersToJoinOrganization bepaalt of gebruikers via e-mailvalidatie lid kunnen worden van de tenant. Als u wilt deelnemen, moet de gebruiker een e-mailadres hebben in een domein dat overeenkomt met een van de geverifieerde domeinen in de tenant. Deze instelling wordt bedrijfsbreed toegepast voor alle domeinen in de tenant. Als u die parameter instelt op $false, kunnen via e-mail geverifieerde gebruikers niet aan de tenant deelnemen.
• allowedToSignUpEmailBasedSubscriptions bepaalt de mogelijkheid voor gebruikers om selfserviceregistratie uit te voeren. Als u die parameter instelt op $false, kunnen gebruikers de selfservice voor aanmelden niet uitvoeren.

allowEmailVerifiedUsersToJoinOrganization en allowedToSignUpEmailBasedSubscriptions zijn tenantbrede instellingen die kunnen worden toegepast op een beheerde of onbeheerde tenant. Hier ziet u voorbeeld waarin:

• u een tenant met een geverifieerd domein zoals contoso.com beheert;
• U gebruikt B2B-samenwerking vanuit een andere tenant om een gebruiker uit te nodigen die nog niet bestaat (userdoesnotexist@contoso.com) in de thuistenant van contoso.com
• De thuistenant heeft allowedToSignUpEmailBasedSubscriptions ingeschakeld.

Als de bovenstaande voorwaarden true zijn, wordt vervolgens een lid-gebruiker gemaakt in de starttenant en wordt een B2B-gastgebruiker gemaakt in de tenant van waaruit de uitnodiging afkomstig is.

Notitie

Office 365 for Education-gebruikers zijn momenteel de enige gebruikers die worden toegevoegd aan bestaande beheerde tenants, zelfs wanneer deze wisselknop is ingeschakeld

Zie voor meer informatie over Flow en Power Apps-proefabonnementen de volgende artikelen:

• Hoe kan ik voorkomen dat mijn bestaande gebruikers Power BI gaan gebruiken?
• Veelgestelde vragen over Flow in uw organisatie

Hoe werken de besturingselementen samen?

Deze twee parameters kunnen samen worden gebruikt om nauwkeuriger beheer over de selfservice voor aanmelden te definiëren. Met de volgende opdracht kunnen gebruikers bijvoorbeeld selfservice-registratie uitvoeren, maar alleen als die gebruikers al een account in Microsoft Entra-id hebben (met andere woorden: gebruikers die een e-mail geverifieerd account nodig hebben om eerst te worden gemaakt, kunnen geen selfserviceregistratie uitvoeren):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

In het volgende stroomdiagram worden de verschillende combinaties voor deze parameters en de daaruit volgende voorwaarden voor de tenant en de selfservice voor aanmelden uitgelegd.

U kunt de details van deze instelling ophalen met behulp van de PowerShell-cmdlet Get-MgPolicyAuthorizationPolicy. Zie Get-MgPolicyAuthorizationPolicyvoor meer informatie.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Zie Update-MgPolicyAuthorizationPolicyPolicy voor meer informatie en voorbeelden van het gebruik van deze parameters.

Volgende stappen

• Een aangepaste domeinnaam toevoegen aan Microsoft Entra-id
• Azure PowerShell installeren en configureren
• Azure PowerShell
• Azure-cmdlet-naslaginformatie
• Bijwerken-MgBeleidAutorisatiebeleid
• Uw werk- of schoolaccount in een niet-beheerde map sluiten